Guia prático sobre a LGPD para o setor de hospitalidade
3 de maio de 2021Provavelmente você já ouviu falar sobre a Lei Geral de Proteção de Dados (LGPD) e que ela impactará o seu negócio. Você precisa tomar algumas providências para buscar a conformidade com a lei, mas com a crise sanitária causada pela pandemia da Covid-19, somada às restrições de autoridades públicas e com uma crise econômica no país e, especialmente, no setor de hotelaria, o que priorizar e como ficar adequado em meio de tantos desafios relevantes de curto prazo?
A situação atual é das mais desafiadoras, as lideranças precisam reinventar e digitalizar seu negócio, tomar decisões difíceis e implementar inovações sem perder de vista a conformidade com as obrigações legais e regulatórias, ou melhor, olhar além delas.
Nessa linha, o termo ESG vem tomando corpo em diversos segmentos de mercado e, apesar de não ser um assunto totalmente novo, as preocupações com o meio ambiente (Environmental), questões sociais (Social) e com a governança (Governance) passam a ser questões de sobrevivência para os negócios. Sem uma estratégia para esses temas, as empresas, pessoas e a sociedade serão negativamente impactadas e as questões de privacidade e proteção de dados pessoais acabam preenchendo uma parte importante do “G”, de Governança.
O ideal para as corporações é implementar um programa de governança em privacidade, faculdade prevista no art. 50, § 2º, incisos I e II e § 3º da LGPD. Provavelmente no mercado você encontrará consultorias que vão lhe oferecer um projeto de adequação à LGPD. A diferença entre um programa de governança em privacidade e um projeto de adequação é que o programa é contínuo. Já um projeto tem começo, meio e fim. Ele vai ajudá-lo a iniciar a conformidade com a lei, enquanto o programa de governança em privacidade vai ajudá-lo a buscar a conformidade com a LGPD constantemente.
Certamente o impacto orçamentário terá relevância para a tomada de decisão sobre qual alternativa adotar neste momento, se há uma estrutura interna para os temas de privacidade ou se a terceirização será a melhor alternativa. Lembrando que não se trata de um tema exclusivamente jurídico ou de tecnologia e segurança da informação. As questões de privacidade e proteção de dados são plurais e multidisciplinares e um time com competências diversas fará a diferença para a busca pela conformidade com a lei.
Se a sua organização possui uma estrutura interna que possa se dedicar aos temas de privacidade e proteção de dados ou se já existe um time de governança e compliance, isso pode acelerar e ajudar no processo de adequação à LGPD.
De qualquer forma, é recomendável ter consultores especializados em privacidade e proteção de dados para apoiar o seu time e orientar a tomada de decisões, sejam escritórios de advocacia para as questões jurídicas, sejam consultorias especializadas em segurança da informação, processos e projetos.
No mercado há diversas consultorias que já atuam em parceria com escritórios de advocacia, o que facilita a contratação por meio de um único fornecedor de serviços. A ideia deste artigo é demonstrar de forma prática e simples algumas medidas que precisam ser adotadas pela sua organização, razão pela qual passaremos a detalhar alguns pontos importantes que devem ser considerados neste desafio que a LGPD impõe.
Guia prático e suas dicas:
1- Conscientização da alta direção sobre os impactos da Lei ao negócio. Esse ponto é extremamente importante para a definição da visão da organização sobre as questões de privacidade e proteção de dados pessoais porque além da obrigação legal, há uma questão reputacional em jogo;
2- Definição do time que ficará responsável pelas questões relacionadas com a LGPD, podendo ser um time interno, externo ou ambos. Outro ponto importante é planejar a formação de um Comitê de Privacidade que reporte diretamente à alta direção da organização;
3- Nomeação de um DPO/Encarregado pelo Tratamento de Dados Pessoais que pode ser um profissional interno ou pode ser um terceiro contratado. Há consultorias que oferecem o serviço de DPO as a Service. Vale ressaltar que a ANPD ainda regulamentará esse tema, inclusive com a possibilidade de dispensa de indicação de um DPO, nos termos do § 3º do art. 41 da LGPD. Provavelmente as micro e pequenas empresas não precisarão de um Encarregado, mas os critérios para a dispensa ainda serão definidos pela Autoridade Nacional de Proteção de Dados. Se a sua organização precisar indicar um DPO/Encarregado, é importante que ele participe ativamente do Projeto de adequação ou Programa de Governança em Privacidade, desde o início;
4 – Auditoria Inicial (Gap Analysis). Como o nome diz, o objetivo é buscar evidências, lacunas, sobre as conformidades e desconformidades existentes na empresa para poder planejar as medidas de adequação. Essa auditoria inicial será útil para identificar o nível de maturidade da organização nas questões relativas ao cumprimento das exigências legais;
5- Mapeamento das operações de tratamento de dados pessoais, lembrando que a LGPD considera tratamento toda a operação que é feita com os dados pessoais, passando pela coleta, uso, reprodução, armazenamento, descarte e todos os demais verbos previstos no inciso X do art. 5º da LGPD;
6- Para toda operação de tratamento de dados pessoais, também será necessário atribuir uma hipótese legal (base legal). A LGPD estabelece em seu art. 7º, 10 bases legais para o tratamento de dados comuns. Há muita
gente que acredita erroneamente que para todas as operações de tratamento será necessário obter o consentimento dos titulares de dados. Vale destacar que o consentimento é apenas uma das bases legais previstas na legislação e não há hierarquia entre as bases legais e caberá ao Controlador definir a base legal adequada para cada operação de tratamento mapeada. Nesse item uma consultoria jurídica especializada é fortemente recomendada. Também há bases legais específicas para dados sensíveis (art. 11) e ainda haverá uma boa discussão sobre as bases legais possíveis para o tratamento de dados pessoais de crianças e adolescentes (art. 14), porque a LGPD prevê o consentimento dos pais ou responsável legal, mas há teses defendendo o uso de outras bases legais, especialmente para o tratamento de dados de adolescentes;
7- Outro ponto importante nas operações de tratamento de dados pessoais é o respeito aos princípios da LGPD. A Lei prevê a boa-fé e mais 10 princípios e em cada operação de tratamento será necessário verificar se os princípios estão sendo cumpridos. Lembrando que sob o aspecto jurídico, o desrespeito aos princípios pode ser considerado mais grave do que o desrespeito a aspectos legais, apenas;
8- A LGPD exige que os agentes de tratamento (Controlador e Operador) mantenham os registros das atividades de tratamento de dados pessoais e por essa razão o mapeamento e o detalhamento das operações de tratamento são relevantes, justamente para que esses registros reflitam a realidade fática dos tratamentos realizados pela organização e fiquem facilmente acessíveis na hipótese de fiscalizações, auditorias ou notificações da ANPD;
9- A partir do mapeamento das operações de tratamento também será possível identificar a necessidade de criação de políticas, avisos de privacidade e revisão de contratos com fornecedores ou parceiros que tratem dados pessoais;
10- Medidas Técnicas e Administrativas: esse ponto é importante para garantir a segurança dos dados pessoais e por consequência a segurança e preservação dos direitos dos titulares de dados. Medidas técnicas são providências de segurança da informação que a organização adota para proteger os dados pessoais, respeitando a confidencialidade, a integridade e a disponibilidade dos dados. Já as medidas administrativas são treinamentos, políticas e todas as demais questões organizacionais para elevar o nível de consciência de quem trata dados pessoais no seu dia a dia.
O treinamento dos times internos é extremamente importante para comprovar que a organização cumpre o princípio da responsabilização e da prestação de contas (accountability);
11- Como os titulares passam a ter direitos bem definidos pela LGPD, o atendimento às requisições dos titulares de dados (internos ou externos) passa a ser algo importante para as organizações e há desafios importantes no atendimento desses direitos, tanto em relação a prazos como na avaliação da procedência das requisições. Lembrando que os direitos dos titulares não são absolutos e muitas vezes a organização poderá tratar os dados pessoais mesmo com eventual oposição do titular, isso se houver uma base legal para o tratamento e o respeito aos princípios legais esteja sendo observado;
12- Outro ponto importante para as organizações é ter um plano de remediação de incidentes e violações. Além de ser algo relevante para garantir uma resposta rápida no caso de incidentes de segurança, a LGPD determina que no caso de dano relevante aos titulares de dados, a organização deverá notificar os titulares sobre o incidente, bem como à Autoridade Nacional de Proteção de Dados, que inclusive já publicou orientação sobre os procedimentos para essa notificação em razão dos diversos vazamentos de dados pessoais amplamente divulgados na mídia recentemente.
Obviamente este artigo não esgota o assunto, mas busca demonstrar por meio desses 12 tópicos que há diversas frentes a serem trabalhadas para que a conformidade com a LGPD seja alcançada. Os desafios de adequação e conformidade são grandes e mesmo durante a crise em que vivemos é importante termos consciência de que a complexidade pode ser maior do que aparenta.
Jonathan Y. Ando Nelson é advogado e sócio do escritório Ando Advogados, pós graduado pela PUC/SP, profissional certificado em privacidade e proteção de dados pela Data Privacy Brasil e Exin; certificado como DPO pelo Instituto Totum; concluiu o Privacy Program Management Training da IAPP e o curso de Proteção de Dados pessoais pelo Insper; é certificado pelo ICSI/UK em Cyber Security, possui ampla experiência em projetos de inovação e tecnologia e é mentor na Ace Startups. Também é Data Protection Advisor na ECOMPLY.io, Privacy Tech alemã de gestão de proteção de dados pessoais.
